首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

Provenance Mining:终端溯源数据挖掘与威胁狩猎

以“系统失陷”为假设,狩猎者基于安全经验与集成的数据平台,对信息系统进行持续的调查、验证、观测,以召回漏网的已知威胁,识别隐匿的未知威胁,并对威胁事件进行溯源和场景重建,进而固化为安全知识与启发式规则。...杀毒软件已能够行之有效的阻拦绝大部分已知文件威胁,如今,面向高级威胁分析场景终端大数据分析,如EDR、集成终端数据的分析平台等应运而生。...所记录的实体,包括文件(菱形)、网络(椭圆)、进程(矩形)等维度;根据实体对的类型,实体间关系又包括文件读写、进程创建、网络连接等等。...从威胁狩猎的主要场景分类出发,下图粗略的对相关工作进行了分组。为了对抗高级威胁,各位作者在方法的命名上也是煞费苦心,各大侦探、神与神兽齐聚一堂,也映衬了APT检测与溯源的高难度系数。 ?...然而,相对于利益驱动下APT等高级威胁的高对抗性、针对性、持续性、长周期等场景特性,溯源数据的挖掘方法研究仍处于初级阶段。

4.4K10

攻击推理专题-基于攻击溯源图的威胁评估技术

本质上是根据外部情报利用专家知识构建相关的威胁子图,然后在攻击溯源图中匹配满足威胁子图的模型的相关子图。...该系统实时的汇总攻击者的攻击行为,并基于kill-chain(攻击链)构建高级溯源图。 ?...为了弥合低级系统调用视角和高级攻击链视角之间的语义差距,HOLMES构建了一个中间层HSG(高级场景图)。...总之,这些技术实现了高级别的恶意行为规范,这些规范在很大程度上独立于许多TTP细节,例如使用特定系统调用,恶意软件的名称,创建的中间文件以及用于创建它们的程序等。...图5 威胁子图示例 HOLMES从一定程度上解决了低级别审计数据与攻击者目标、意图和能力相关高级杀伤链视角之间的巨大语义差距。

3.1K30
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    ​分享几个威胁情报平台

    开工的第一周,与同事聊起威胁情报的话题,顺手就搜索整理了一下国内外的威胁情报平台。在这里分享几个威胁情报平台,可通过查询获取威胁情报参考数据。...---- 01、国内威胁情报平台 1、微步在线 https://x.threatbook.cn/ 2、天际友盟RedQueen安全智能服务平台 https://redqueen.tj-un.com/...3、360威胁情报中心 https://ti.360.net/ 4、奇安信威胁情报中心 https://ti.qianxin.com/ 5、VenusEye威胁情报中心 https://www.venuseye.com.cn.../ 6、NTI 威胁情报中心 https://ti.nsfocus.com/ 7、安恒威胁情报中心 https://ti.dbappsecurity.com.cn/ 8、安天威胁情报中心 https...://www.antiycloud.com/ 9、深信服安全中心 https://wiki.sec.sangfor.com.cn/index/abroad 02、国外威胁情报平台 1、IBM X-Force

    4.4K40

    西方红玫瑰和辣条先生黑产组织深度分析报告

    报告摘要 近期,神州网云依靠高级威胁检测引擎并结合天际友盟的威胁情报,精确发现了多起高级威胁组织的攻击,通过快速有效的一键溯源确定了攻击行为及影响。...IP 111.73.45.188的溯源分析 通过网镜高级威胁检测系统的高级恶意行为检测及情报匹配检测到多起恶意IP地址频繁对某数据中心发起Struts2-045攻击行为。 ?...通过溯源平台关联分析 利用威胁情报平台溯源能力对样本(d738afeb7a1d8bc65ce4726ed28c22b4)进行溯源分析,发行多家杀毒厂商认定样本为木马下载器,并且通过可视化的关联出样本的恶意网络行为...通过溯源平台关联分析 利用威胁情报平台溯源能力对样本(19e9c14bdd3a26a7e7463d1837c6f0ba)进行溯源分析,发行多家杀毒厂商认定样本为木马下载器,并且通过可视化的关联出样本的恶意网络行为...结语 集特征监测、行为分析、全流量深度分析、取证、威胁情报、大数据分析等技术为一体的高级威胁检测与威胁情报,可以在更广的领域和范围进行网络信息安全事件的事前警示、事中发现、事后溯源,系统还原的相关网络行为及报警线索自动留存

    2.9K50

    基于海量样本数据的高级威胁发现

    本文由我在互联网安全大会 ISC 2022 分论坛“以对手为目标的威胁防御——安全情报与高级威胁论坛”中的分享《基于海量样本数据的高级威胁发现》整理而成,内容有所改动。...5279 个;境内被植入后门网站数量为 1838 个;针对境内网站的仿冒页面数量为 16540 个 国家信息安全漏洞共享平台(CNVD)收集整理信息系统安全漏洞 1548 个,其中高危漏洞 546 个...基于沙箱的行为检测 基于沙箱的行为检测意思是在样本运行的过程中记录样本产生的行为和痕迹,包括调用了什么系统 API、创建或操作了什么进程、释放了什么文件、注入了什么内存,产生了哪些网络连接和通信、利用了哪些漏洞...情报生产和高级威胁发现 海量样本数据的运营,用于支持情报生产业务和高级威胁发现业务。接下来我将简单描述一下如何基于海量样本数据运营进行情报生产和高级威胁发现。 什么是威胁情报?...什么是高级威胁? 海量样本数据的运营,支撑的另一项主要的业务是高级威胁发现业务。那么什么是高级威胁呢?

    3.6K10

    AISecOps:从DARPA Transparent Computing看终端攻防

    安全边界日益模糊,为应对高级持续性威胁,提升各类终端系统的“透明度”尤为关键——通过高效的数据采集与分析技术,以识别、溯源、预测内外部攻击者的细粒度系统级行为及关联其上下文。...基于以上能力的实现,TC项目旨在完成细粒度系统级行为的关联,实现在大规模行为中识别异常与恶意意图,发现潜在的APT或其他高级威胁,并提供完整的溯源分析与相关损失评估。...其中,最核心的数据就是不同类型终端的溯源数据(Provenance),有效的溯源数据挖掘方法,能够支撑威胁狩猎的多种任务场景。...基于大规模溯源数据图识别APT攻击行为,面临溯源依赖图爆炸、威胁大海捞针、性能拓展性差等多方面的技术挑战。...终端侧的网络攻防,已成为高级威胁对抗领域的主战场。高效采集与精细的分析齐飞,来打开终端系统的计算黑盒,方能因敌变化取胜。

    2.3K20

    深度分析无文件攻击与高级持续威胁(APT)

    无文件攻击(Fileless Attack)与高级持续威胁(Advanced Persistent Threat, APT)便是此类攻击手法的典型代表。...本文旨在深度剖析无文件攻击与APT的原理、特点、防范策略,并结合实战代码示例,为读者揭示这两种高级攻击手段的内在机制与应对之道。...二、高级持续威胁(APT):隐形的战争APT是一种由有组织、有目的的攻击者发起的、长期潜伏在目标网络中的复杂攻击。...result == 0; } // ...定义WINTRUST_FILE_INFO和WINTRUST_DATA结构及其相关常量...}EDR/EPP解决方案:部署端点检测与响应(EDR)或端点保护平台...四、结语无文件攻击与APT作为高级攻击手段,对企业的网络安全构成了严峻挑战。

    64710

    丰富化威胁情报平台的能力

    图 3 创建组合 IOC 的示意图 该组件考虑将 OSINT 订阅源分为两类:(1)低级订阅源,主要由 IP 地址和 URL 组成; (2) 高级订阅源,其中包含有关网络工件、活动等信息的更高级分析;提供...这些 IOC 的合并允许创建一个包含 468 个元素的新 IOC。...如果需要,可以从头开始创建新模块并与 MISP 实例集成,而无需修改平台的核心功能。 启发式组件通过 MISP 接收来自受监控基础设施的所有数据。...其他功能(例如,源/目标 IP、创建和有效性时间戳等)可能会在分配过程中使用正值和/或负值。然后在训练和校准过程中调整这些单独的值,以便最终的威胁分数减少误报和漏报的数量。...此信息由 MISPB 在创建用户时提供。 TS 评估阶段:为了执行威胁评分的计算,MISPB 需要扩展新功能。

    85830

    【APT行为数据分析】终端溯源数据中的依赖爆炸问题

    一、摘要 高级持续性威胁(Advanced Persistent Threat,APT)具有对抗性、隐匿性、低频性、持续性,在配合复杂、定制化的技战术手段,给传统防护检测方案带来挑战。...为提升高级威胁分析的时效性,降低狩猎门槛,探索通过数据驱动的方式提升关键线索定位、攻击路径补齐的自动水平,有着重要的意义。...《Provenance Mining:终端溯源数据挖掘与威胁狩猎》一文,介绍了终端溯源数据(Provenance)以及溯源图(Provenance Graph)的概念。...限于采集平台的性能开销与技术瓶颈,目前绝大部分溯源数据采集系统所采集的数据是粗粒度的(Coarse-Grained)。...图5展示了在整个观测周期内的完整溯源图。该图记录了两台主机终端(绿色与深灰色)的进程、文件、连接以及域名解析等日志中多种类型实体之间的,读写、创建、解析等多种类型信息流结构依赖关系。

    2K10

    APT这件事,美国现在有点慌...

    R. 5576),要求美国总统确认高级持续威胁(APT)组织名单,并在《联邦公报》中公布并定期更新。该法案旨在增加对手攻击成本,并要求美国政府制裁对美国发动国家支持型网络攻击的参与者。 ❈ ?...安恒明御APT攻击(网络战)预警平台,使用深度威胁检测技术,对APT攻击行为进行检测,相对于仅依靠特征检测的传统安全产品,本产品可发现零日漏洞利用、未知恶意代码等高级攻击手段,能检测到传统安全设备无法检测的攻击...,为用户提供更高级的安全保障。...明御APT攻击(网络战)预警平台 能力与价值 预警重要信息系统发生的安全事件 及时发现网站WEBSHELL后门被利用 快速预警高危恶意代码样本传播 监控内部主机被控制回连的行为 发现内部存在的零日漏洞和未知威胁...完善核心系统安全防护能力 发现各种隐蔽威胁 分析当前安全防护的弱点 完善安全防护策略 对攻击进行取证溯源分析 记录详细的攻击行为 发现并定位僵尸主机 对攻击进行跟踪溯源 感知安全威胁趋势规律 全面的威胁指数分析

    1.5K30

    全球代表供应商!腾讯安全NDR再获Gartner认可

    腾讯安全NDR(网络威胁检测与响应)由腾讯御界高级威胁检测系统和腾讯天幕安全治理平台两款产品组成,是腾讯自研的高级威胁检测(APT检测)、分析、溯源和响应一体化解决方案,助力企业实现“知己知彼,御敌千里...图片全球NDR市场稳步增长应用场景不断拓展近年来,全球安全形势日益严峻,威胁和攻击层出不穷,各类威胁检测平台应运而生,并且发展迅猛。...Gartner在《报告》中提到:虽然检测平台的竞争日益激烈,但NDR市场仍在以 22.5% 的速度稳步增长,并且目前已扩展到新的应用场景,例如IaaS环境。...;聚合安全事件中的关联告警,以实现更加完整的溯源分析;提供自动或手动的响应能力,以对检测到的可疑网络流量做出响应。...未来,腾讯安全还将继续结合自身二十多年黑灰产实战经验和安全实验室顶尖的技术能力,持续投入研发,不断创新升级NDR产品,助力客户实现高级威胁检测、分析、溯源、响应一体化解决方案,连同生态合作伙伴一道共同守护网络安全

    1.7K50

    网络安全运营能力建设思路:技术能力建设

    同时,基于端点的背景数据、恶意软件行为以及整体的高级威胁的生命周期的角度进行全面的检测和响应,并进行自动化阻止、取证、补救和溯源,从而有效地对端点进行安全防护。...4.5 流量检测 高级持续网络攻击(APT攻击)能利用各种攻击手段针对特定目标实施攻击,在攻击后进行伪装,基于特征检测和行为检测的传统威胁检测手段已经越来越难以应对新型的安全攻击手法,因此需要多种基于流量的检测检测和分析技术组合应对...同时,能够与其他多个安全平台对接,实现多业务联动处置,做到人员、技术、平台多维度联动。...用户和实体行为分析是一种面向用户和实体的行为,通过对行为进行建模以创建基线,采用高级数据分析方法(如机器学习等方法)对用户和实体行为进行分析,并刻画用户和实体行为基线的技术,最后将其用于评估潜在风险。...UEBA通过基于正常行为为人和机器行为创建基线来进行操作。使用数据科学创建用户或实体的每个适用属性的行为模型。给定足够的数据,可以识别出表示典型行为的趋势。

    2.9K20

    态势感知知多少?

    传统安全技术对高级持续性威胁无能为力,对于高级持续性威胁,无论是在安全威胁的检测、发现还是响应、溯源等方面都存在严重不足。 3....围墙式的防御体系不再适应当前的网络环境,只有将这些安全孤岛整合起来,打通数据间的隔阂,形成企业或组织的全面数字安全感知体系,才能真正实现安全威胁的积极防御和有效应对。...建立以态势感知和安全运营平台为核心的安全体系是企业新的安全形势下的提升安全能力的必由之路。...目前态势感知的需求: 网络资产多,发现存在隐患:态势感知平台需要通过主动发现、导入或创建的方式来,识别和梳理目标网络中要被防护的资产及业务对象。...威胁攻击多,聚焦行为本质:态势感知平台可以通过机器学习技术,快速定义威胁的种类,识别隐藏在威胁之后的本质行为,同时,可为用户提供行为的分析建模,构造网络白环境。

    2K41

    伏影实验室在行动|7*24h攻防演练技术支持和威胁狩猎服务

    基于近日发布的绿盟高级威胁狩猎系统(简称“ATH”),绿盟科技伏影实验室的研究员们在2021年4月-5月期间针对蜜罐产品ATH提供7*24h的技术支持服务和威胁狩猎服务,以此满足用户在攻防演练过程中的技术需求...绿盟科技伏影实验室基于多年对欺骗防御技术的深入研究,强力推出绿盟高级威胁狩猎系统(NSFOCUS Advanced Threat Hunting System,简称“ATH”)。...ATH是以欺骗防御技术为核心,对网络中的潜在威胁进行检测和发现的安全攻防产品。用户通过设下的诱饵来诱捕黑客,并结合威胁情报,对黑客进行精准攻击刻画及溯源反制,及时发现更多威胁,保护资产安全。...、效果差 攻击者小心谨慎,单一项目无法获得充足溯源信息 传统威胁情报在演练中命中率低,溯源缺少支撑,线索频频中断 应对解决方案 互联网预先部署诱饵信息,诱导攻击者 依托绿盟科技特有Jsonp和漏洞反制技术...专用情报——攻击者画像,提供精确溯源依据 绿盟科技伏影实验室 伏影实验室专注于安全威胁与监测技术研究。

    1.4K10

    国内十二大网络安全研究机构盘点

    、Web安全技术;应用安全技术研究,工控安全、移动智能终端安全、云安全;安全解决方案研究,高级威胁检测与分析解决方案、信息安全实验室解决方案。...;其高级威胁检测与分析解决方案、信息安全实验室解决方案已大量应用于金融、电信、政府、军队军工、媒体教育等各个行业,在保障用户核心业务系统持续安全运行的同时,协助用户进行安全人才的培养,使用户IT系统具有安全可持续发展的能力...2 安天实验室 成立时间:2000年 研究方向:网络安全,恶意代码分析、检测;高级威胁检测 研发成果:安天自主研发的AVL SDK反病毒引擎(网络版、移动版)被国内外多家安全厂商选用,为超过6万台防火墙...Detect System,简称VDS),解决了在超高速网络环境下全面准确检测病毒的难题,在包括国家级网络安全管理机构、政府部门、大型行业,如石油、电网、大型运营商等网络环境中,都进行了大规模部署;追影高级威胁鉴定器...9 江南天安猎户攻防实验室 成立时间:2014年 研究方向:黑客行为分析与攻击溯源 研发成果:智能安全联动平台关联黑客在互联网的所有行为;对攻击溯源进行取证,并对高达3亿个域名进行预处理分析,抵御二次攻击

    3.9K40

    又双叒获奖啦!腾讯安全三项成果入选《2021网信自主创新成果推荐手册》

    凭借独有的数据矿藏、专业的情报运营团队、自闭环情报生产能力、实时情报校验能力以及腾讯自身的品牌和服务优势,能够提供高质量的IOC情报检测、覆盖海量IP的信誉情报分析、黑客画像分析、未知样本检测、高级威胁发现...目前,腾讯威胁情报服务已经具备高达99.9%准确度的情报交付能力,自产情报数量九成以上,第一时间向客户提供专业的高级威胁情报报告,及时发现威胁各行业客户及与国计民生密切相关的重点单位、重点行业的网络攻击行为...同时推出了跨链交互平台,提供共性、安全的区块链基础能力及多链互通,以链治链的开放服务平台。 ​...城市超脑领域 为武汉等城市提供了区块链城市底座建设,实现了泛政务数据的安全收集、可控分发及数据溯源等可信业务需求。...防伪溯源领域 联合张裕打造国内首个高端葡萄酒区块链溯源平台,在传统“一物一码”的基础上将每一瓶葡萄酒的生产编码和二维码、区块链编码进行双重绑定,实现400万瓶酒庄酒全流程信息的上链追溯。

    4K30

    画像平台人群创建方式-规则人群创建

    规则圈选是按照指定条件从画像数据中找到满足要求的用户并沉淀为人群的一种常见的人群创建方式。所谓的规则就是条件的组合,比如北京市男性用户,最近一周平均在线时长介于2到10分钟之间的中老年用户。...筛选北京市男性用户的需求可以通过画像平台可视化页面表达出来,其圈选配置最终通过接口传递到平台服务端并存储在数据库MySQL中。...人群创建引擎读取到规则人群配置信息后,首先判断是否适合通过BitMap实现人群圈选,如果适合,可以获取标签的BitMap在内存中进行交、并、差操作;不适合BitMap实现的可以兜底通过ClickHouse...每一个人群最终都会存储在Hive表和OSS中,但是不同人群创建方式优先产出的人群存储类型不同,所以画像平台需要支持Hive和OSS之间数据的相互转换。...----本文节选自《用户画像:平台构建与业务实践》,转载请注明出处。

    44100
    领券